Detección y reacción ante el uso irregular de Recursos Corporativos Henry Velásquez Yanez Detección y reacción ante el uso irregular de Recursos Corporativos Consideraciones Previas: Principios de Proporcionalidad. Implantación de Controles y Monitorización. Controles y Monitorización: Objetivos. Detección y dimensionamiento del uso indebido: Medios de Producción, redes sociales corporativas, BYOD. Uso Responsable: BYOD. Casos más comunes de usos indebidos y su tratamiento y gestión. Riesgos. Posturas oficiales. Cambio Jurisprudencial. Evidencias Electrónicas. Consideraciones Previas PRINCIPIOS LOPD Proporcionalidad (art 4 LOPD). • Información (art 5 LOPD). • Consentimiento (art. 6 LOPD). • Medidas de Seguridad (art. 9 LOPD). • Deber de Secreto (art. 10 LOPD). • Implantación de Controles y Monitorización Controles preventivos. • Controles correctivos. • Monitorización. • Controles y Monitorización: Objetivos Evitar fugas de información confidencial. • Evaluación del rendimiento y desempeño laboral. • Evaluación del cumplimiento de políticas y normativa aplicable • Registro de las actividades como la prueba de la conducta personal impropia (evidencia electrónica). • Control de calidad durante la prestación de servicios de atención al cliente. • Revisión de las habilidades y competencias del personal empleados en su trabajo. • Revisión del cumplimiento de las normas de salud y seguridad. • Detección de conductas irregulares, ilícitas, etc. • Controles y Monitorización: Medios de Producción. Control de accesos (log in/log out). • Control sobre navegación en Internet. • Monitorización de los programas utilizados en el ordenador por parte del empleado. • Log de trazabilidad de acciones efectuadas por el usuario. • Copia de la información enviada a través de los servicios que hayamos configurado, normalmente e-mail, Chat y mensajería instantánea. • Supervisar el rendimiento del personal • Aplicaciones de monitor en marcha • Monitorización de archivos descargados del personal. • Monitorización de archivos copiados en medios extraíbles (USB, MMC, etc.). • Monitor de pulsaciones de teclado mecanografiado. • Control de actividad en casos de tele-trabajo. • Visualización de pantallas de cada ordenador con el fin de ver que información está mostrando cada cierto tiempo. • Evaluación del desempeño laboral. • Controles y Monitorización: Redes Sociales Corporativas. Mecanismos de control, que permiten disminuir el riesgo de que se incluyan mensajes o comentarios que pudieran considerarse infracciones normativas, dentro de las zonas públicas de la Red Social, en el supuesto de redes sociales corporativas-abiertas. (i) Prohibición de iniciar “Temas de discusión” o “Debates” que pudieran constituir cualquier tipo de infracción normativa; (ii) Prohibición de publicar contenidos (noticias, eventos, anuncios en tablón), que pudieran suponer una infracción normativa; (iii) Informar al usuario sobre su responsabilidad en cuanto a legalidad y licitud de los contenidos, imágenes, comentarios, datos personales de terceros, incorporados por éste a la red social corporativa. (iv) Utilizar los mecanismos de denuncia, puestos a su disposición, en caso de advertir cualquier comportamiento anómalo, irregular o que pudiera contravenir lo dispuesto en la normativa aplicable y los Términos y Condiciones de Uso”. (v) Convendría activar mecanismos de control tales como: aplicaciones informáticas para filtrar contenidos, aplicaciones anti-spam y mecanismos de denuncia, a fin de detectar mensajes o comentarios irregulares emitidos en las zonas públicas; (vi) Ejecutar acciones de revisión periódica, proactiva y de monitorización sobre los contenidos y/o comentarios emitidos en las zonas públicas de la red social corporativa. (vii) Ejecutar acciones para mitigar el impacto de incidentes detectados que pudieran suponer alguna infracción normativa. (viii)Supresión de contenidos infractores, suspensión o bloqueo de usuarios falsos. Controles y Monitorización: BYOD. La problemática: Implantación de controles en dispositivos de uso personal del empleado que incorporan información corporativa. (i) Información sensible perteneciente a la empresa, fuera de los límites de control habituales, en dispositivos de uso corporativo y personal. (ii) Convivencia de múltiples plataformas: soporte especializado para cada una de ellas, herramientas específicas que se adapten a las distintas tecnologías. (iii)Necesidad de personal de soporte formado en dispositivos cada vez más avanzados. (iv)Entorno cambiante rápidamente: nuevas aplicaciones y funcionalidades. Cómo extrapolar las políticas de seguridad a dispositivos móviles. (v)Cómo controlar el uso y acceso de los dispositivos. Uso Responsable: BYOD (i). RECOMENDACIONES PREVIAS: Ø Establecer procedimientos de control y protección lógica del acceso y conexión a los sistemas de información corporativos, así como a los mecanismos de autenticación/identificación de los usuarios, implementados para controlar el acceso a tales sistemas, por parte de los empleados/colaboradores, a través de sus dispositivos personales. Ø Implementar mecanismos que proporcionen control, seguridad y permitan el cifrado de las comunicaciones, a fin de facilitar la conectividad del dispositivo desde lugares externos a los sistemas de información corporativa, así como la implantación de protocolos de comunicaciones seguros impidan la interceptación de comunicaciones y/o el robo de credenciales. Ø Establecer procedimientos de protección lógica de la información que se almacena en el dispositivo de uso personal, por ejemplo, a través de mecanismos criptográficos que permitan garantizar que, ante posibles pérdidas de información o robo del dispositivo, no habrá fugas de información. Uso Responsable: BYOD (ii). RECOMENDACIONES PREVIAS: Ø Establecer procedimientos adecuados para la gestión de posibles incidencias. ØConfigurar sistemas de monitorización basados en la detección de anomalías, tanto a nivel de conexiones y accesos a los sistemas de información, como en el uso y tratamiento de la información corporativa, teniendo especial precaución de no interferir en el uso particular del dispositivo por parte del empleado y por tanto poner en riesgo su intimidad. ØSeleccionar soluciones tecnológicas complementarias que contribuyan a reforzar la integración segura entre los sistemas de información corporativos y el dispositivo de uso personal del empleado/colaborador (por ejemplo, Mobile Device Management, Firewall, Antimalware/Antivirus, DLP, Filtrado de contenido web, VPN, Autenticación de doble factor). Uso Responsable: BYOD (iii). Medidas de Seguridad RLOPD: En la medida en que la información corporativa integrada en los dispositivos de uso personal, pueda incorporar datos de carácter personal, deberán aplicarse las medidas de seguridad contempladas en el RLOPD, de acuerdo con el nivel de seguridad asignado a los datos objeto del tratamiento. A tal efecto, a continuación se detallan las medidas de seguridad que podrían resultar de aplicación al supuesto planteado: Ø Régimen de trabajo fuera de los locales del responsable del fichero o encargado del tratamiento (Art. 86 RLOPD Ø Funciones y obligaciones del personal. (Art. 89 RLOPD). Ø Registro de incidencias (Art. 90 RLOPD). Ø Control de acceso (Art.91 RLOPD). Ø Gestión de soportes (Art. 92 RLOPD). Ø Identificación y autenticación (Arts. 93 y 98 RLOPD). Ø Copias de respaldo y recuperación (Art. 94 RLOPD). Ø Registro de accesos (Art. 103 RLOP). Ø Telecomunicaciones (Art. 104 RLOPD). Uso Responsable: BYOD (iv). Soluciones Tecnológicas: Capacidad de gestionar y dar soporte a aplicaciones móviles, datos y sistema operativo q q q q q q q q q q Configuración Actualizaciones Parches Respaldo Aprovisionamiento Monitorización SW Hosting Gestión de Plataformas Móbiles (MEAPs) Desarrollo Sincronización en segundo plano Uso Responsable: BYOD (v). Gestión de la Seguridad: Implantación de medidas de seguridad sobre el dispositivo, así como autenticación y encriptación q q q q q q q q q Borrado remoto Bloqueo remoto Configuración Segura Obligación de uso de credenciales Encriptación Autenticación Antivirus VPN Móvil Firewall Uso Responsable BYOD: Metodología. Casos Comunes de Usos Indebidos Vulneración de la confidencialidad y seguridad de la información. • Revelación indebida de secretos empresariales. • Acceso a Páginas Web que pudieran comprometer la seguridad de la información. • Tratamiento excesivo y/o acceso indebido a información clasificada y/o a datos de carácter personal. • Utilización de aplicaciones que permitan el intercambio de archivos sin el control adecuado. • Uso de correo electrónico sin las diligencias debidas. • Uso inapropiado de mensajería instantánea. • Malware en red corporativa. • Uso indebido de los recursos corporativos para actividades ilícitas o que pudieran vulnerar la normativa aplicable. • Etc. • RIESGOS (I) Pérdidas Económicas Directas RIESGOS (II) Pérdidas de imagen o valor de marca, reputación RIESGOS (III) Pérdida de Información Corporativa, propiedad intelectual o industrial RIESGOS (IV) La implantación de mecanismos de control podrían conllevar una serie de riesgos derivados de la vulneración de los derechos fundamentales de los trabajadores. Denuncia del trabajador por descubrimiento y revelación de secretos (Art. 197 y siguientes del Código Penal) ü En caso de que se haya sancionado o despedido al empleado: despido nulo por vulneración de los derechos fundamentales. ü Denuncia del empleado por tratamiento ilegítimo de sus datos (Ley Orgánica de Protección de Datos). ü Posturas Oficiales (i). TSJ Cataluña (Sala de lo Social) Sentencia 31 de julio de 2003. DESPIDO PROCEDENTE. Faltas reiteradas de puntualidad y uso indebido de internet durante la jornada. Se acreditan las faltas reiteradas de puntualidad que tras un cambio de dirección de la empresa deja de permitir incorporarse una hora más tarde al trabajo. Trabajadora a la que se le advirtió de cumplir con el horario que desde el inicio se había pactado. Por el contrario en cuanto al uso indebido de internet, que también le imputa la empresa, no se observa gravedad en la conducta, primero porque la empresa había proporcionado a la trabajadora un ordenador con acceso a internet sin haberle dado instrucciones expresas sobre su utilización, y segundo porque, pese a la espectacularidad de la carta al consignar gran número de páginas web visitadas, no consta ni el tiempo invertido en cada consulta ni que todas las consultas fueran para cuestiones ajenas a la actividad laboral. TSJ Castilla y León de Valladolid (Sala de lo Social) Sentencia 8 de noviembre de 2004. DESPIDO PROCEDENTE. Trabajador que usa del ordenador de la empresa los días laborales durante un tiempo excesivo para a las páginas deportivas, prensa ordinaria, juegos y páginas musicales con descarga de archivos de internet. Uso particular de un instrumento de trabajo para fines distintos de los que son propios de su actividad laboral de forma desmedida y sin autorización alguna por parte de la empleadora. Abandono de sus funciones durante el tiempo de trabajo. 9. TSJ Cataluña (Sala de lo Social) Sentencia 6 de mayo de 2005. DESPIDOS PROCEDENTES. Incumplimiento grave y culpable. Trabajadores que se sirvieron de internet, tanto para mantener varias páginas abiertas, como para intervenir en un chat durante tres jornadas de trabajo consecutivas. Empresa dedicada a la atención telefónica e informática que tenía establecida la prohibición de hacer uso privado de internet. Prohibición recogida en un aviso expuesto en el centro, que venía notificándose a cada trabajador desde hacía dos años y además todos los trabajadores la venían respetando. Posturas Oficiales (ii). TS (Sala 4.ª) Sentencia 28 de junio de 2006. DESPIDO IMPROCEDENTE. Uso de internet en el trabajo para fines personales. Falta de prohibición específica por parte del empleador. Ámbito privado y particular del trabajador y vulneración de su derecho a la intimidad. RECURSO DE CASACIÓN PARA LA UNIFICACIÓN DE DOCTRINA. Falta de identidad sustancial entre los hechos de las sentencias comparadas. La sentencia recurrida trata de un trabajador que utilizó el acceso a internet y el correo electrónico de la empresa para fines privados, entre ellos la consulta de páginas pornográficas o la participación en chats, entendiéndose que estaba autorizado por la empresa, por lo que la investigación practicada incidía en el derecho a la intimidad, siendo ilícita la prueba practicada. En la referencial la causa de la decisión que estimó el despido procedente fue la transgresión de la buena fe contractual y el abuso de confianza que suponía el tiempo dedicado a la navegación por internet ajena al trabajo, superior a hora y media diaria. TSJ Madrid (Sala de lo Social) Sentencia 10 de octubre de 2006. DESPIDO DISCIPLINARIO. Improcedencia. Trabajador despedido por visitar en la red páginas ajenas al trabajo. Inexistencia de norma interna de la empresa que prohíba el uso privado de internet. No constituye falta muy grave sancionable con el despido al no quedar acreditado el perjuicio sufrido por la empresa. DESPIDO NULO. No procede. La voluntad extintiva por la comisión de los hechos sancionables se manifiesta como razonablemente ajena a todo móvil atentatorio de derechos fundamentales. El TSJ Madrid estima el recurso de suplicación interpuesto por el trabajador contra la sentencia de instancia que calificaba el despido disciplinario como procedente. TSJ País Vasco (Sala de lo Social) Sentencia 23 de enero de 2007. DESPIDO PROCEDENTE. TRANSGRESIÓN DE LA BUENA FE CONTRACTUAL. Auxiliar administrativa que utilizaba el ordenador de la empresa para actividades lúdicas y ajenas al trabajo, estando gran parte de la memoria del ordenador ocupada por programas ajenos al trabajo. DERECHO A LA INTIMIDAD. No se vulnera el derecho a la intimidad y dignidad del trabajador por la inspección del ordenador que se realizó con todas las garantías, en presencia de un delegado de los trabajadores y otros dos trabajadores. Posturas Oficiales (iii). TS (Sala 4.ª) Sentencia 26 de septiembre de 2007. DERECHO A LA INTIMIDAD. Vulneración. Despido de trabajador al que, al reparar su ordenador por un virus, se le encuentran archivos temporales de páginas pornográficas visitadas en internet. Determinación de los límites del control empresarial sobre un ámbito que, aunque vinculado al trabajo, pueda afectar a la intimidad del trabajador. El control del uso del ordenador facilitado al trabajador por el empresario no se regula por el artículo 18 sino por el artículo 20.3 del Estatuto de los Trabajadores. Actuación empresarial que en lugar de limitarse al control y eliminación del virus siguió con el examen del ordenador. Inexistencia de información a los trabajadores de prohibiciones absolutas o parciales en el uso del ordenador TS (Sala 4.ª) Sentencia 6 de Octubre de 2011. Se produce un despido disciplinario por contravenir la trabajadora una prohibición expresa del empresario de usar los ordenadores para fines propios, tanto dentro como fuera del horario de trabajo. Lo decisivo a efectos de considerar la vulneración del derecho a la intimidad es la tolerancia de la empresa que crea una "expectativa de confidencialidad" y, por ende, la posibilidad de un exceso en el control llevado a cabo por el empleador que vulnere el derecho fundamental de la intimidad del trabajador. Pero si hay prohibición de uso personal deja de haber tolerancia y ya no existirá esa expectativa, con independencia de la información que la empresa haya podido proporcionar sobre el control y su alcance. Esfera Personal en el Ámbito Laboral Cambio jurisprudencial: Ordenador equiparado a taquilla y efectos personales del trabajador (Art. 18 ET) STS, de 26 de septiembre de 2007 Los recursos electrónicos que el empleador pone a disposición del trabajador son propiedad de la empresa . Ésta los facilita para utilizarlos en el cumplimiento de la prestación laboral, por lo que esa utilización queda dentro del ámbito del poder de vigilancia del empresario (art. 20.3 ET) Esfera Personal en el Ámbito Laboral CONSECUENCIAS DEL CAMBIO JURISPRUDENCIAL: ü ü ü ü El trabajador no tiene que estar presente ni tiene que ser notificado en el momento en el que se vaya a realizar un control de los recursos electrónicos. (STS de 6 de octubre de 2011) No resulta necesaria la presencia física de representantes legales o de testigos. No es necesario que se lleve a cabo en el centro de trabajo ni dentro del horario laboral. Implantación de normas concretas de uso de los recursos electrónicos corporativos indicando la posibilidad de controlar y de los medios de control que adoptará para las oportunas comprobaciones que en su caso realice. Acciones ante Uso Indebido Sanciones Disciplinarias (art. 58 ET) Despido Disciplinario (art. 54 ET) - Tipicidad de las sanciones - Graduación y Proporcionalidad - Posibilidad de recurrir las sanciones impuestas - Incumplimiento contractual. - Incumplimiento grave. - Incumplimiento culpable. CAUSA: La transgresión de la buena fe contractual, así como el abuso de confianza en el desempeño del trabajo Evidencias Electrónicas (i) OBJETO: Su utilización como prueba válida en los procedimientos judiciales. ü ü ü ü ü Realización de una imagen forense (completa e inalterable) Realización por un experto independiente (p.e Perito Informático). Supervisión del procedimiento por un testigo (p.e Notario) Documentar todo el proceso de obtención de evidencias y de la cadena de custodia. Análisis forense no intrusivo para respetar la intimidad de los afectados (búsquedas ciegas). Evidencias Electrónicas (ii) •Fotografías del ordenador portátil, identificando marca/modelo/serie/etc. •Fotografía del disco duro interno extraído del portátil identificando marca/modelo/serie/etc. •Fotografía de Disco duro virgen utilizado para la clonación, identificando sus características. Evidencias Electrónicas (iii) Fotografías del dispositivo de clonación íntegra, identificando marca/modelo/serie/etc. • Fotografía del dispositivo de clonación en cuya pantalla se comprueba la finalización del procedimiento mediante el mensaje “Compare OK: 1”, que indica que el proceso de copiado integral se ha completado sin problemas; así como los mensajes “Fail: 0” y “Diff: 0”, que indican que la clonación se ha realizado sin errores ni irregularidades. • Uso Responsable de Recursos Corporativos Muchas gracias ¿Alguna pregunta? [email protected] C/Quintanavides, 19. Edificio 4.Planta ·E. 28050 (+34) 91 001 67 67 @Ecixgroup